【資安日報】2022年3月3日,網釣攻擊鎖定幫助烏克蘭難民的國家、逾30所烏克蘭大學網站遭駭

在俄烏戰爭爆發後,擁護俄羅斯和烏克蘭的駭客組織,今天傳出也鎖定烏克蘭大學網站,甚至是協助難民的國家而來。

Log4Shell堪稱是史上最為嚴重的漏洞之一,迄今仍不時傳出有駭客組織用於攻擊行動,但究竟該漏洞被濫用的情況如何?近期有資安業者揭露相關調查。

近期GitLab修補CVSS風險層級達9.6分的漏洞CVE-2022-0735,其風險層級極高的原因,在於駭客可透過未經身分驗證的用戶,輕易利用此項漏洞。

【攻擊與威脅】

網釣攻擊鎖定幫助烏克蘭難民的國家而來

俄烏戰爭開打,雙方的網路攻擊也你來我往,但現在竟然也波及到協助難民的國家。資安業者Proofpoint於2月24日,偵測到疑似由國家資助的網路釣魚攻擊行動Asylum Ambuscade,駭客冒用烏克蘭武裝部隊成員的電子郵件信箱,以2月23日北大西洋公約組織(NATO)安理會召開的緊急會議為誘餌,挾帶具有惡意巨集的Office文件,目標是負責歐洲交通與人口流動的政府官員,很可能是為俄羅斯政府蒐集烏克蘭難民的情報。

一旦收信人開啟附件,將會執行SunSeed惡意軟體。研究人員尚且無法確定攻擊者的身分,但發現攻擊特徵與白俄羅斯駭客組織UNC1151(亦稱TA445、Ghostwriter)的手法幾乎一致。

俄烏戰爭爆發後,逾30所烏克蘭大學WordPress網站遭到入侵

俄烏戰爭於2月24日爆發,駭客攻擊敵對陣營的政府機關、石油公司、電視臺的情況不時傳出,但他們如今也染指學術單位。資安業者Wordfence指出,他們看到Monday Group旗下的駭客組織theMx0nday,在俄羅斯入侵烏克蘭之後,開始對烏克蘭大學的網站,藉由WordPress網站的漏洞發動大規模攻擊,至少有30個大學的網站受害,在他們保護的376個烏克蘭大學網站中,2月26日的漏洞利用攻擊達到10.4萬次。

駭客疑似來自巴西,並藉由惡意流量代管業者Njalla的VPN服務,來埋藏攻擊來源。該資安業者也宣布,將針對烏克蘭的WordPress網站免費提供即時情資。

俄羅斯間諜衛星疑成為網路攻擊的目標

在軍事情報的收集上,衛星可提供極為精確的位置,使得武器殺傷力可較為完整發揮,一旦相關設施遭到癱瘓,將可能左右戰爭的發展,而成為駭客發動網路攻擊的重要目標。隸屬於匿名者(Anonymous)的駭客組織Network Battalion 65(NB65),於3月1日宣稱癱瘓俄羅斯航太公司Roscosmos的控制中心,該國恐將無法使用間諜衛星,但此事隨即遭到俄羅斯否認。

根據資安新聞網站Bleeping Computer的報導,俄羅斯航太公司總裁Dmitry Rogozin於3月2日宣稱該控制中心正常運作,NB65是散布謠言的騙子。但在接受Rossiya 24電視臺訪問時,Dmitry Rogozin卻指控駭客對該國衛星基礎設施發動網路攻擊,就是對他們宣戰,該單位將與聯邦安全局(FSB)、總檢察長辦公室等單位發送相關情資,找出意圖發動相關攻擊的人士。

駭客廣泛運用Log4Shell漏洞發動DDoS攻擊、挖礦攻擊

自Log4Shell漏洞細節被公布,駭客於2021年12月至2022年1月,大肆利用這項漏洞發動攻擊,如今雖已稍微趨緩,但相關威脅仍舊存在,IT人員仍不能掉以輕心。資安業者Barracuda近期公布Log4Shell威脅態勢報告,他們發現運用該漏洞最為頻繁的是殭屍網路Mirai,藉此入侵並控制受害裝置,然後發動分散式阻斷服務(DDoS)攻擊,駭客也利用這項漏洞來投放BillGates、Muhstik等惡意軟體,或是在受害電腦植入挖礦軟體XMRig、Kinsing。而對於攻擊來源,研究人員指出逾8成來自美國,其次是日本、德國、荷蘭、俄羅斯。

駭客濫用API發動的攻擊行動,在2021年爆增近7倍

應用系統API遭到駭客濫用的現象,如今有顯著加劇的趨勢。資安業者Salt Security指出,他們發現最近的12個月裡,利用API發動攻擊的惡意流量增加了681%,且在他們調查的250個受訪者中,95%表示組織曾遭遇相關攻擊事件。研究人員認為,組織的應用系統API安全性普遍不足,是被駭客盯上的主要原因。因為,IT人員往往集中於開發階段的安全檢測,而無法察覺在實際上線後可能會出現的設計邏輯缺陷。此外,有34%組織仰賴廠商提供的API解決方案,而沒有制訂相關的安全政策。

輪胎大廠普利司通遭到網路攻擊而停工數日

駭客鎖定汽車零件廠商發動攻擊的情況,又傳出一起事故。根據新聞網站ZDNet的報導,輪胎大廠普利司通位於北美與拉丁美洲的工廠,傳出正在從網路攻擊中復原受害系統,要求員工不要上班數日。普利司通疑似於2月27日凌晨察覺網路攻擊,並於當日就請員工回家,且到了3月1日似乎尚未恢復運作──他們告知於2日排班的員工不需上班。

【漏洞與修補】

GitLab出現重大漏洞,恐被用於挾持特定Token

GitLab於2月25日發布14.8.2、14.7.4、14.6.5版安全更新,當中修補7個漏洞,其中最值得留意的是CVE-2022-0735,這項漏洞與註冊工作排程執行的Runner有關,CVSS風險層級達到9.6分,影響GitLab 12.10以後的版本。一旦攻擊者利用這項漏洞,就能透過未經授權的使用者來竊取Runner註冊的Token,而造成資訊洩露的情況。GitLab提醒,安裝新版軟體可能會導致群組與專案的Runner註冊Token重置,或是影響採用自動化流程來註冊Runner的功能,管理者升級前應考慮先備份相關的Token。

7成5醫用輸液幫浦存在已知安全漏洞

醫療用輸液幫浦存在的安全漏洞,近年來多次有資安人員揭露,甚至引起美國政府發布資安通報,呼籲用戶應儘速修補,但尚未修補的情況仍相當嚴重。資安業者Palo Alto Networks針對醫療院所逾20萬個輸液幫浦進行分析,結果發現,75%的設備存在已知漏洞,其中值得留意的是,52%存在CVE-2019-12255、CVE-2019-12264漏洞,這些漏洞的CVSS風險層級分別為9.8分與7.1分。研究人員認為,醫療院所應考慮採取較為積極的防護策略,而首先要對於網路上的設備進行盤點。

近期資安日報

【2022年3月2日】  駭客在俄烏戰爭持續發動網路攻擊、中國駭客運用後門程式Daxin長達10年

【2022年3月1日】  俄羅斯出兵烏克蘭,引發不同立場的駭客集團發動攻擊、汽車大廠Toyota疑因零件供應商遭駭停工

【2022年2月25日】  SockDetour後門程式攻擊美國國防業者、勒索軟體Cuba鎖定Exchange Server而來

【2022年2月24日】  烏克蘭再遭DDoS與資料破壞攻擊、殭屍網路Cyclops Blink鎖定WatchGuard防火牆設備而來

【2022年2月23日】  華芸NAS遭勒索軟體加密檔案、駭客利用Cobalt Strike攻擊微軟SQL Server

【2022年2月22日】  臺灣金融業遭中國駭客軟體供應鏈攻擊、安卓木馬Xenomorph鎖定56間歐洲銀行的用戶而來

【2022年2月21日】  WordPress網站備份外掛驚傳任意下載漏洞、殭屍網路病毒Kraken被用於散布竊密軟體

【2022年2月18日】  VMware遠距工作平臺遭伊朗駭客鎖定、微軟協作平臺被駭客用於散布惡意軟體

【2022年2月17日】  惡意軟體Emotet威脅升溫、美國關鍵基礎設施成勒索軟體BlackByte的受害者

【2022年2月16日】  駭客利用Squirrelwaffle惡意軟體發動BEC攻擊、NFT成駭客散布惡意軟體的誘餌

【2022年2月15日】  運動用品大廠美津濃疑遭勒索軟體攻擊、Magento電商網站軟體存在重大RCE漏洞

【2022年2月14日】  工業級網管系統驚傳重大漏洞、駭客利用Regsvr32散布惡意軟體

【2022年2月11日】  殭屍網路FritzFrog鎖定醫療、教育、政府單位下手;美國政府解析勒索軟體2021年攻擊態勢

【2022年2月10日】  SAP元件重大漏洞恐影響多數用戶、駭客透過PrivateLoader載入器散布多種惡意軟體

【2022年2月9日】  RLO特殊Unicode字元被用於挾持微軟帳號攻擊、網釣簡訊攻擊更加氾濫

【2022年2月8日】  資安業者揭露俄羅斯駭客攻擊烏克蘭的發現、微軟禁用線上安裝MSIX檔案來防堵相關攻擊

【2022年2月7日】  中國駭客攻擊美國新聞媒體集團、資安人員宣稱獨力癱瘓北韓網路

【2022年1月28日】  台達電疑遭勒索軟體Conti攻擊、駭客收集存在Log4Shell的VMware遠距工作平臺名單

【2022年1月27日】  勒索軟體LockBit鎖定VMware虛擬化平臺下手、駭客運用ISO映像檔在受害電腦植入RAT木馬程式

【2022年1月26日】  電動機車業者Gogoro驚傳遭網路攻擊、勒索軟體駭客藉加密NAS檔案,向威聯通販賣漏洞

【2022年1月25日】  CentOS網頁管理介面軟體漏洞可被串連發動RCE攻擊、勒索軟體駭客收買企業內部員工以利入侵

【2022年1月24日】  鎖定烏克蘭的惡意軟體手法近似NotPetya、Omicron網釣攻擊爆增

【2022年1月22日】  WordPress佈景供應商網站驚傳遭駭;攻擊者冒用物流業者名義散布木馬程式

【2022年1月21日】  Zyxel設備、Serv-U因Log4Shell漏洞遭鎖定;中國駭客組織Winnti二度針對UEFI韌體下手

【2022年1月20日】  臺灣驚傳首宗SIM卡挾持攻擊事件、視訊會議系統Zoom修補無須使用者互動就能觸發的漏洞

【2022年1月19日】  再生能源相關組織遭到網釣攻擊,歐美執法單位查封駭客匿蹤的VPN伺服器

【2022年1月18日】  數個WordPress外掛驚傳CSRF漏洞,SAP開發平臺重大漏洞恐被用於供應鏈攻擊

【2022年1月17日】  俄國攻擊烏克蘭數十個政府網站,又大舉逮捕勒索軟體REvil成員,引起全球關注

【2022年1月14日】  美國商討Log4Shell開源軟體安全;電子零組件大廠臺灣東電化驚傳員工竊取機密投靠競爭對手

【2022年1月13日】  俄羅斯APT駭客接連攻擊關鍵基礎設施,引起美國政府關注、億聯IP電話驚傳會向中國回傳資料

【2022年1月12日】  微軟發布1月例行修補,修補近百個漏洞、Log4Shell漏洞出現數起攻擊行動

【2022年1月11日】  網站的URL解析器程式庫驚傳漏洞、數千個應用系統服務中斷,原因是NPM套件作者自毀程式碼

【2022年1月10日】  Log4Shell再被用於攻擊VMware遠端工作平臺,小心透過Google語音電話挾持帳號的詐騙

【2022年1月7日】  NCC警告小米手機會比對用戶是否使用中國政府封鎖的關鍵字,Java的RMI協定可被用於SSRF攻擊

【2022年1月6日】  駭客針對17家公司進行撞庫攻擊,惡意軟體ZLoader透過網管軟體投放

【2022年1月5日】  研究人員發現70個網站快取中毒漏洞,摩根史坦利支付6千萬美元和解資料外洩訴訟

【2022年1月4日】  從網頁複製指令貼上恐被用於攻擊行動、偵測物聯網裝置威脅出現新的方法

【2022年1月3日】  Log4Shell漏洞被用於攻擊學術機構,網路叫車系統Uber郵件系統可被冒名寄詐騙郵件

【2021年12月30日】  加密貨幣交易所因Log4Shell漏洞成勒索軟體受害者、T-Mobile用戶遭到SIM卡挾持攻擊

【2021年12月29日】  密碼管理系統LastPass驚傳遭到帳號填充攻擊,音訊設備大廠、美國物流業者雲端配置不當

【2021年12月28日】  資安成國際半導體展要角,勒索軟體eCh0raix於聖誕節前夕攻擊威聯通NAS

【2021年12月27日】  IT業者公布Log4Shell漏洞影響情形,疑似由Babuk修改而成的勒索軟體Rook已有受害者

【2021年12月24日】  Apache網頁伺服器驚傳重大漏洞,以解僱為由的網釣攻擊散布惡意軟體Dridex

【2021年12月23日】  阿里巴巴Log4Shell漏洞未先通報中國政府遭到制裁,微軟Teams應用程式漏洞恐被用於詐騙

【2021年12月22日】  Log4Shell隱含SBOM-軟體元件列管問題,暗網市集恐成攻擊者購買入侵帳密來源

【2021年12月21日】  比利時國防部遭Log4Shell漏洞攻擊,駭客以輝瑞藥廠的名義進行網路釣魚

【2021年12月20日】  Log4Shell出現新的阻斷服務漏洞、勒索軟體Conti鎖定VMware vCenter發動攻擊

【2021年12月17日】  Log4Shell出現大量攻擊、間諜軟體攻擊全球工控系統

原文來自 iThome Online